La cybersécurité désormais pilier fondamental de la culture d’entreprise ?
Avec un ensemble de valeurs et de comportements partagés par tous les salariés, la culture d’entreprise représente l’ADN de celle-ci, au point d’en devenir parfois un avantage concurrentiel, grâce à un écosystème qui s’identifie et partage cette culture.
Une notion s’est toutefois ajoutée au fil des années, dont Tchernobyl a d’ailleurs été déclencheur : celle de la sécurité[1]. Ces événements ont fait prendre conscience aux entreprises que de nombreux dysfonctionnements peuvent mettre en péril leur stabilité. Le paysage des menaces n’a cessé d’évoluer notamment avec la transition massive des entreprises vers le numérique. La sécurité informatique n’a donc jamais été aussi importante et 2018 a d’ailleurs battu tous les records en matière d'identification et de définition de nouvelles vulnérabilités avec pas moins de 17 300 vulnérabilités relevées jusqu’à présent[2]. Les pertes financières ne sont pas négligeables. D’après le rapport Risk : Value 2018, une violation de données entrainerait une perte de chiffre d’affaire de plus de 10 %. Accenture note de son côté que 53 % des attaques informatiques auraient coûté au moins 400 000 euros aux entreprises françaises en 2017 [3]. Mobilisant une grande partie des salariés dans les entreprises, les projets de transformation numérique nécessitent une approche différente de la cybersécurité. Or, cette dernière est souvent vue comme étant du ressort exclusif du service informatique. Néanmoins, chaque salarié à tous les niveaux est concerné par la préservation de l’intégrité de son entreprise, quitte à élever la cybersécurité au rang de pilier de la culture d’entreprise.
Un manque de formation sur les thématiques de sécurité
La quasi-totalité des entreprises constatent un écart entre leur culture de cybersécurité actuelle et celle souhaitée, selon une étude de l’ISACA. Le manque de formation des salariés sur le sujet en est la première cause[4]. Les barrières de sécurité peuvent devenir poreuses dès lors qu’une tentative de phishing ou plus largement de social engineering aboutit à l’ouverture des portes de l’entreprise. C’est d’ailleurs souvent en temps de crise que les salariés prennent conscience que la sécurité est l’affaire de tous. Et les conséquences se répercutent sur l’ensemble de l’entreprise, du DSI au directeur marketing en passant par le DAF jusqu’au Directeur Général.
Dans ce contexte, la difficulté consiste à mettre en place une cyber-résilience qui dépasse le cadre des seuls responsables informatiques et pour y parvenir, les chefs d’entreprise doivent adopter un nouveau style de leadership et repenser la structure organisationnelle, de façon à accompagner leurs salariés dans cette voie. Le challenge pour la direction est donc de créer une culture de sécurité en investissant dans les outils, l'expertise, la surveillance en continu et un style de leadership adapté. Il ne suffit pas d'investir dans des technologies innovantes pour stimuler la transformation numérique. La règle du "people first" est plus valable que jamais.
Le comité exécutif comme ambassadeur de la cyber-résilience
Les entreprises ont souvent tendance à se cacher derrière la technologie pour répondre à leurs besoins en matière de sécurité, allant jusqu’à se mettre dans une position de dépendance. D’autant qu’aujourd’hui il y a tout simplement trop de choix parmi les solutions du marché, avec une vaste gamme de cas d'utilisation qui ne sont pas toujours adaptée à son entreprise. Toujours est-il que le manque de ressources et de compétences en matière de cybersécurité est une constatation partagée pour tous les acteurs IT sur le marché. Même si des initiatives sont engagées comme des journées de sensibilisation à la sécurité une fois tous les trimestres ou tous les ans, cela ne suffit clairement pas à en faire des salariés cyber-résilients. Et qui de mieux que le comité exécutif comme ambassadeur pour accorder à la cybersécurité l'attention qu'elle mérite et faire ruisseler cette valeur sur l’ensemble des salariés. De plus, inclure la sécurité au début de chaque nouvelle initiative permettra de s'assurer qu'elle est intrinsèque à toutes les activités de l’entreprise. Elle deviendra alors un catalyseur d'affaires - et non un frein à l'activité.
Au-delà des Hommes, la cyber-résilience d’une entreprise passe aussi par un plan de réponse à incident : dossier dans lequel le processus et les procédures sont détaillés et, plus important encore, testés et re-testés. Et il y a encore beaucoup d'organisations qui ne disposent pas de plan d'intervention en cas d'incident de sécurité. La capacité d'une organisation à réagir rapidement à un incident et à s'en remettre commence par le développement d'une solide capacité d'intervention.
La cyber-résilience d’une entreprise et toutes les actions engagées avec une approche managériale adaptée, en fait une valeur inhérente au succès de l’entreprise. Au-delà d’un simple état d’esprit, la cybersécurité doit être portée par l’ensemble des équipes et ancrée dans les valeurs des salariés. En ajoutant la cybersécurité comme l’un des piliers de la culture d’entreprise, les dirigeants ne feront qu’accroitre leur capacité à se maintenir à flot et à générer du chiffre d’affaires supplémentaire, en contournant une partie des menaces, et ce grâce à la confiance de son écosystème en sa cyber-résilience.
Toutefois cela ne s'arrête pas là : les écoles et les universités doivent également adapter leurs programmes éducatifs pour les natifs du numérique, afin que la prochaine génération qui entre sur le marché du travail le fasse avec les compétences appropriées.
[3] Selon l’étude 2017 « COST OF CYBER CRIME STUDY » d’Accenture https://www.accenture.com/t20171006T095146Z__w__/us-en/_acnmedia/PDF-62/Accenture-2017CostCybercrime-US-FINAL.pdf#zoom=50